El Departamento de Justicia de EE.UU. levantó el lunes una acusación de 2014 alegando que un actual ejecutivo de seguridad informática estuvo involucrado en una conspiración para vender nombres de usuario y contraseñas pertenecientes a clientes estadounidenses de la empresa de redes sociales Formspring en 2012.
El hombre identificado en la acusación, Nikita Kislitsin, presuntamente recibió datos robados de Formspring, y luego trató de vender esa información a otros. Kislitsin trabaja actualmente como jefe de seguridad de redes en el Group-IB, un proveedor de seguridad informática con oficinas en Moscú y Singapur. Se incorporó a la empresa en enero de 2013, aproximadamente seis meses después de que los fiscales dijeran que un hacker proporcionó a Kislitsin las credenciales de Formspring para venderlas.
Los fiscales de los Estados Unidos no han alegado ninguna infracción por parte de Group-IB.
En una declaración a CyberScoop, la compañía dijo que Kistlitsin todavía es un empleado, y que Group-IB considera las acusaciones como “sólo declaraciones”, argumentando que “no se ha descubierto que Nikita Kislitsin haya estado involucrado en ninguna infracción”.
En un momento dado en 2013, representantes del Grupo-IB y el propio Kislitsin se reunieron con miembros del Departamento de Justicia para discutir la “investigación” de Kislitsin sobre el “clandestino”, que llevó a cabo antes de unirse a la compañía, dijo un portavoz del Grupo-IB en una declaración a CyberScoop. Antes de unirse a la compañía, trabajó como investigador y como editor de una revista llamada “Hacker”, y nunca ocultó su actividad anterior durante el proceso de contratación, según Group-IB. También trabajó como investigador independiente de amenazas en los Estados Unidos en 2012.
La empresa tiene la intención de “apoyar” a Kislitsin, y ahora está consultando con abogados internacionales para discutir los próximos pasos. La firma sostiene que se dedica a trabajar con organismos mundiales de aplicación de leyes para detener la actividad ciberdelictiva.
“Somos conscientes de que la decisión que hemos tomado puede conllevar riesgos para la reputación de Group-IB y tratamos este hecho con la mayor seriedad”, continuó la declaración.
Los fiscales de EE.UU. dicen que Nikita Kislitsin usó los alias “Dor Fyo” y “Udalite”.
Las pistas en la acusación apuntaban a una conexión entre Kislitsin, Udalite y Group-IB. Una cuenta de Twitter con el alias @Udalite utiliza una foto de perfil que parece sorprendentemente similar a la foto profesional de Kislitsin en el sitio web de Group-IB. En la misma página aparece el nombre del propietario de la cuenta como “Nikita K.”, aunque no parece haber enviado ningún tweet desde 2012, dos años antes de la acusación.
Un comunicado de prensa de Group-IB de 2013 describe a Kislitsin como el jefe de desarrollo organizacional y estratégico con un enfoque en el servicio de monitoreo de botnets.
Una agenda para un evento de DEF CON Moscú en 2015 enumera a Kislitsin como un presentador que habló sobre los ataques dirigidos al sector financiero. El hipervínculo que destaca el nombre de Kislitsin apunta a la página de Twitter de @Udalite. Kislitsin de Group-IB aparece en varios videos de YouTube filmados en conferencias rusas de ciberseguridad, la mayoría en el área de Moscú, y publicados en 2013, 2014 y 2015.
El caso Nikulin
La acusación es corta en detalles. Describe una conspiración que involucra a Kislitsin y a un conspirador que presuntamente vulneró Formspring en junio de 2012, y luego robó la “base de datos de información de usuarios” de la compañía, incluyendo contraseñas encriptadas. Kislitsin luego trató de vender esa información a otro co-conspirador por €5.500, según los cargos.
Pero este caso está relacionado con los cargos contra Yevgeniy Nikulin, un hombre ruso que será juzgado en San Francisco por el presunto robo de aproximadamente 117 millones de nombres de usuario y contraseñas de Formspring, LinkedIn y Dropbox. Nikulin no se nombra en la acusación, aunque Kislitsin fue identificado por los fiscales en el caso Nikulin. Ese juicio está programado para comenzar el 9 de marzo.
Un expediente judicial hecho público el martes identifica a Nikulin, Kislitsin y a dos presuntos ciberdelincuentes, Oleg Tolstikh y Oleksandr Ieremenko, presentes durante una reunión en 2012 en un hotel de Moscú, donde los participantes supuestamente discutieron sobre el inicio de un negocio de cibercafé. El archivo representa otra indicación de que presuntos miembros de la clandestinidad criminal rusa comparten recursos antes, durante y después de crímenes informáticos de alto perfil.
Group-IB es una empresa de seguridad privada fundada en 2003 por Illya Sachkov, un empresario de tecnología ruso. La empresa ha colaborado en las investigaciones de la Europol relacionadas con los delitos cibernéticos y publica periódicamente investigaciones sobre técnicas de fraude en los pagos y otras amenazas cibernéticas.
Ni Group-IB ni Kistlitsin han recibido “ninguna citación, notificación o invitación oficial para el próximo juicio” de Yevgeniy Nikulin, dijo la compañía en un comunicado. Group-IB no dijo si Kistlitsin había recibido alguna notificación del Departamento de Justicia de los Estados Unidos con respecto a su propio caso. Kislistin, por su parte, no respondió a los mensajes que solicitaban sus comentarios.
No hay informes de que Kislitsin esté retenido por autoridades de los EE.UU. o de cualquier otro país.
Cuando los fiscales de los Estados Unidos develan acusaciones de alto nivel contra sospechosos extranjeros antes de que sean detenidos, puede ser un reconocimiento implícito de la poca probabilidad que la persona sea detenida y extraditada pronto a un tribunal de los Estados Unidos. John Demers, fiscal general adjunto para la seguridad nacional, dijo la semana pasada que, si los fiscales creen que es probable que se produzca un arresto “dentro de un plazo razonable”, el gobierno mantiene los cargos sellados.
“En otros casos… el valor de abrir la acusación y decirle a la gente que robó los datos supera la baja posibilidad de que podamos atraparlos”, dijo.